國家資安報告:勒索軟體攻擊鎖定大企業或關鍵基礎設施
行政院發佈去(109)年國家資通安全情勢報告發現,勒索軟體攻擊肆虐全球,我國公私機關部門亦難倖免於外,攻擊對象也從過去隨機攻擊,轉變成鎖定大型企業或政府關鍵基礎設施領域的目標式攻擊,109年某機關就曾遭受勒索軟體攻擊,造成三級資通安全事件。
不過,去年政府機關通報資安事件爲525案,近三年來看,有下降趨勢,大前(107)年爲754件,前(108)年674件。資安事件依所造成的機密性、完整性及可用性衝擊嚴重度分級,去年525案中,最輕一級事件共451案、二級65案、三級9案,並無四級事件,其中非法入侵佔68.76%爲最大宗,其餘還包含網頁攻擊、設備問題、阻斷服務等。
行政院每年定期公佈國家資通安全情勢報告,報告表示,勒索軟體會藉由加密檔案,致使受害者無法正常使用電腦,影響業務運作,進而達到勒索贖金的目的,攻擊對象也從過去隨機攻擊,轉變成鎖定大型企業或政府關鍵基礎設施領域的目標式攻擊。
舉例來說,去年某機關發現遭受勒索軟體攻擊,駭客經暴力破解設備維護廠商使用的帳號密碼,再橫向擴散至其他設備,利用勒索軟體加密資料,致相關資通系統無法於可容忍中斷時間內恢復運作,造成三級資通安全事件。另外,在能源領域也發現勒索軟體攻擊案例,是駭客入侵公司系統長期潛伏及探測,最終利用勒索軟體加密重要檔案,以要脅鉅額贖金。
面對勒索軟體攻擊成爲常態,報告強調,如何制定應變措施,以縮短災害復原耗費的時間將成爲關鍵。建議各機關應落實系統弱點修補,及軟韌體更新作業,在設定系統登入密碼時應符合複雜性原則,網路架構上應有適當區隔及存取控制,重要資料應建立異地備份備援機制,定期辦理營運持續演練,降低資通系統遭受勒索軟體攻擊的風險,並強化機關成員的資安意識,避免點擊來路不明的檔案或連結。
政府機關面臨的五項資安威脅,包含持續出現個資遭泄案例、勒索軟體阻斷系統服務運作、物聯網設備因韌體未更新遭植入惡意程式、進階持續性威脅攻擊竊取機敏資料、及政府機關委外供應鏈遭駭侵。
有關持續出現個資遭泄案例,報告顯示,某機關曾因廠商誤將未經遮罩的敏感資訊上傳網站,致民衆個資外泄,建議各機關應加強同仁對個資管理的教育訓練,定期檢視同仁存取個資及機敏資料的權限設定,建立資料上傳審覈流程,加強防護敏感資料檔案。